Esiste un caso d'uso che rende obsoleto il gestore di password?

22

Sfondo

Trevor ha posto una domanda sulla natura e la validità dell'utilizzo di un gestore di password, dato l'attuale modello prevalente di autenticazione sulla maggior parte delle risorse web.

  • Avvertenza: questa non è la domanda ingenua sul fatto che i gestori di password siano insicuri in generale, Trevor sa che la domanda è stata fatta e ha risposto molte volte (è tutta una questione di rischio relativo).
  • Avvertenza: anche questa non è la domanda di routine del profilo di rischio relativo tra password manager e memorizzazione e inserimento manuale da solo. Anche Trevor ha familiarità con questa discussione.

Domande

Trevor ha posto una domanda che mette in discussione il fatto che i gestori di password siano obsoleti sulla base della funzionalità .

Se un utente può selezionare in modo affidabile "Ho dimenticato la mia password" sulla maggior parte dei siti web e avere avviato una reimpostazione della password e un link inviato alla loro posta in arrivo, quindi < strong> non è la loro casella di posta elettronica con la stessa funzionalità di un gestore di password?

Qual è il vantaggio di provare a ricordare una password o di memorizzare una password in un gestore se un utente può ottenere in modo affidabile un link per reimpostare la password ogni volta che desidera accedere al sito ?

Nota

Questa domanda non è identica a Se includo un servizio di password dimenticata, allora che senso ha usare una password? .

Sebbene simile, questa domanda ha lo scopo di scoprire quale vantaggio relativo (o svantaggio) esiste quando il caso d'uso viene confrontato con un gestore di password.

Nell'altra domanda, il caso d'uso viene confrontato con la memorizzazione a memoria, e non identifica il fatto che un gestore di password potrebbe essere equivalente a dimenticare semplicemente le password e utilizzare un accesso unico.

    
posta dreftymac 01.05.2015 - 22:02
fonte

6 risposte

25

Il tuo argomento è subordinato all'utilizzo di un servizio basato sul web. Se si utilizza il gestore password per SFTP, unità crittografate, app desktop, ecc., Non si dispone di un'opzione di ripristino self-service.

Se vogliamo continuare l'argomento solo per le app Web, ecco alcuni problemi:

  1. Ciò richiede l'utilizzo di un solo indirizzo email, che potrebbe non essere pratico (lavoro contro e-mail personale non dovrebbe essere combinato) o non desiderato (problemi di anonimato, organizzazione, e-mail condivisa per un club, ecc.) . Se si utilizzano più indirizzi e-mail, ciò riduce anche l'impatto di una di esse compromessa.

  2. Ciò richiede che il fornitore di servizi richieda un indirizzo email, non tutte le richieste di servizi o richieda di fornire un indirizzo email.

  3. Non sono sicuro di voler contare sull'affidabilità di un servizio di ripristino. Questo potrebbe richiedere molto più tempo per il ripristino della posta elettronica. Il fornitore di servizi può ( dovrebbe ) limitare tali richieste.

  4. Le reimpostazioni della password non sono progettate per questo scopo. Una reimpostazione della password può far parte di un'analisi completa per mettere l'account su un avviso più alto per il monitoraggio. L'account è stato appena resettato, questo è inusuale, quindi applica più monitoraggio e controlli poiché il ripristino potrebbe indicare un rilevamento dell'account. Le reimpostazioni della password non sono generalmente considerate la norma .

  5. Per la reimpostazione della password ci sono spesso domande di sfida, quindi è necessario inserirle tutte le volte. Questo è necessario perché l'account e-mail non può essere conosciuto per essere sicuro o isolato per l'utente. A seconda di chi chiedi, questo è un po 'come combinare "qualcosa che conosci" (domande di sfida) con "qualcosa che hai" (l'account di posta elettronica).

  6. Personalmente preferirei che l'aggressore dovesse entrare nel mio computer piuttosto che trovare un difetto nel sistema dei provider di posta elettronica, nelle reti interne, ecc. Non mi sembra proprio che la mia email su Internet sia sicura o privata .

  7. Anche se questo è stato super veloce, in tutti i casi e non c'erano domande di verifica, la sua ancora noioso, richiede schede di commutazione, ecc Si può anche ottenere distratto da altri tuoi messaggi di posta elettronica, le cose potrebbero andare accidentalmente SPAM. Uso una scorciatoia da tastiera per il tipo automatico, molto veloce e trasparente. Il mio gestore di password cancella anche i miei appunti.

Alla fine della giornata, penso di avere più controllo sul mio gestore di password per il desktop, si applica a molti altri scenari, ed è più facile e più affidabile.

    
risposta data 01.05.2015 - 23:07
fonte
8

La mia risposta sarebbe no, non sono obsoleti. La tua portata è troppo stretta. Stai pensando che tutte le password memorizzate in un gestore di password possano essere ripristinate. Non conti:

  • password per i sistemi operativi
  • password per proteggere i certificati
  • password per proteggere le apparecchiature di rete

Queste password non possono essere "ripristinate" con un semplice link di reset e richiedono più interazione da parte dell'utente. Pertanto la tua affermazione è falsa.

    
risposta data 01.05.2015 - 22:14
fonte
4

Credo che tu stia facendo la domanda sbagliata. La domanda corretta sarebbe, in questo giorno di 100 account diversi per ogni persona (e-mail, forum, siti Web, ecc.) È possibile ricordare una password diversa per ciascuno?

No, realisticamente non puoi. E, con la prevalenza di hack che rubano il database delle password (crittografato o meno) da un sito Web o da un altro, il riutilizzo delle password tra i siti è qualcosa che nessuno dovrebbe fare più. Mai. Se hai una memoria eidetica e puoi ricordare una password diversa per ogni sito che visiti, allora con tutti i mezzi, fai fuori un gestore di password.

Non provare a utilizzare solo 2 o 3 password diverse per tutti i servizi online che utilizzi, perché ti stai aprendo per un mondo di dolore quando uno di quei siti ha una sicurezza scadente e accidentalmente dà la tua password gli ultimi "hacker russi". Garantisco che proveranno quella password esposta su ogni istituto finanziario per vedere se l'hai riutilizzata da qualche parte. È successo a me - fortunatamente non riuso le password ma dal momento che il mio nome utente era lo stesso erano in grado di escludermi da 3 dei miei conti finanziari con tentativi di accesso falliti.

    
risposta data 01.05.2015 - 22:29
fonte
2

What is the benefit of trying to remember a password, or storing a password in a manager if a user can reliably get a password reset link every time they wish to login to the site ?

Questo è approssimativamente equivalente a il concetto di autenticazione senza password di Yahoo . Ha davvero senso solo in scenari in cui si autentica abbastanza raramente che passare attraverso un ciclo di posta elettronica è meno problematico dell'alternativa.

Tuttavia, la questione se un gestore di password sia rilevante è del tutto estraneo. È come chiedere se i gestori di password siano obsoleti ora che il nuovo album di Kayne West è uscito. Quello giusto non segue l'altro.

I gestori di password semplificano notevolmente la sicurezza online e offrono una protezione significativa dal phishing . Questo valore non è in alcun modo influenzato dalla disponibilità di reimpostazioni di password basate su e-mail.

    
risposta data 04.05.2015 - 03:48
fonte
0

Sei sostanzialmente corretto che un account di posta elettronica tramite il quale si ripristinano le password ogni volta che vengono utilizzate è funzionalmente equivalente a un gestore di password. L'unica differenza in termini di sicurezza è la possibilità che l'account di posta elettronica venga compromesso rispetto alla possibilità che il database delle password venga compromesso.

Il vantaggio principale di un gestore di password non è quello della sicurezza, è uno dei vantaggi. Anche supponendo che sia possibile reimpostare le tue password ogni volta che sono necessarie, considera ciò che di solito comporta:

  • Rispondi almeno a una domanda di sicurezza
  • Forse risolvi un captcha
  • Attendi l'email, a volte per diversi minuti
  • Accedi al sito
  • Inserisci una nuova password che soddisfi i requisiti spesso stupidi

Tempo totale: diversi minuti anche se l'e-mail di ripristino è arrivata subito.

Confronta questo con un gestore di password:

  • Digita una password
  • Copia / incolla

Tempo totale: pochi secondi.

    
risposta data 02.05.2015 - 20:12
fonte
0

What is the benefit of trying to remember a password, or storing a password in a manager if a user can reliably get a password reset link every time they wish to login to the site ?

Perché se riesci ad accedere al tuo account con la tua password conosciuta sai che un utente malintenzionato non ha modificato la tua password.

Il reset della password crea rumore. Nel log del sistema di destinazione (che a volte può essere visualizzato dall'utente) e nella casella di posta dell'utente per l'e-mail di reimpostazione della password, e idealmente una notifica via e-mail che una password è stata modificata sull'account.

Un utente malintenzionato che ha avuto accesso alla tua casella di posta elettronica potrebbe eliminare queste e-mail e utilizzare il link per modificare la password e il login. Tuttavia, se non è possibile accedere al sistema utilizzando la password memorizzata nel gestore password, è un'indicazione che il tuo account è stato compromesso in questo modo. Se hai semplicemente usato un link per reimpostare la password ogni volta che non lo saprai mai.

Ovviamente è solo una bandiera rossa, non una prova definitiva per conto proprio - dovresti chiedere agli amministratori del servizio di fornire i log di quando la tua password è stata ripristinata (o guardati se hanno questa funzionalità). È possibile confrontare questi registri con il proprio nel gestore password per scoprire quando è stata modificata l'ultima volta la password. Se non hai cambiato la tua password in questo momento, saprai che qualcosa non va.

Per questo motivo, la protezione dell'accesso con una password può garantire l'integrità del tuo account.

    
risposta data 06.05.2015 - 12:14
fonte

Leggi altre domande sui tag